Bardzo często uważamy, że pliki w naszym komputerze są bezpieczne. Oczywiście wiele osób ma świadomość, że sprzęt może się zepsuć więc wykonuje kopię zapasową np.: na zewnętrzny dysk i zasadniczo uznaje, że dane są bezpieczne. Niewiele osób bierze pod uwagę sytuację kiedy dysk z kopią danych lub sam komputer dostaje się w niepowołane ręce np.: zostaje skradziony. Wówczas niestety prywatne dane mogą zostać odczytane, gdyż samo hasło do systemu operacyjnego nie wystarczy jako zabezpieczenie.
Jednym z zabezpieczeń stosowanych w celu podniesienia bezpieczeństwa jest szyfrowanie danych znajdujących się na dyskach twardych i nośnikach zewnętrznych. Wykorzystując systemy z rodziny Windows można skorzystać z natywnej funkcji szyfrowania danych, wbudowanej w systemie – technologia ta nazywa się BitLocker.
BitLocker wykorzystuje technologię Trusted Platform Module (TPM), w celu zabezpieczania sprzętu za pomocą zintegrowanych kluczy kryptograficznych. Chip TPM to procesor kryptograficzny, który zawiera fizyczne mechanizmy zabezpieczające, dzięki czemu jest odporny na manipulacje i może bezpiecznie wykonywać operacje kryptograficzne, a jednocześnie służy do potwierdzenia tożsamości użytkownika. Moduł TPM zazwyczaj umieszczany jest na płycie głównej komputera jako procesor przeznaczony do przechowywania haseł, certyfikatów lub kluczy szyfrowania Rivest-Shamir-Adleman (RSA).
BitLocker został wbudowany w rodzinę systemów Windows poczynając od Windows 7 (Ultimate, Enterprise), Windows 8 (Pro, Enterprise) oraz Windows 10/11 (Pro, Enterprise) w komputerach z procesorami x86 i x64 z modułem TPM.
Szyfrowanie może obejmować wszystkie stałe napędy w tym dysk systemu operacyjnego, wykorzystując 128- lub 256-bitowe szyfrowanie AES. Stosowanie BitLockera charakteryzuje się dość niewielkim obciążeniem systemu i szacowane jest na poziomie 2-4%. Szyfrowanie urządzenia może być używane z kontem lokalnym, kontem Microsoft lub kontem domeny Active Directory. Aby obsługiwać szyfrowanie urządzeń, system musi obsługiwać tryb gotowości i spełniać wymagania zestawu Windows Hardware Certification Kit (HCK) dla modułu TPM i SecureBoot w systemach ConnectedStandby.
Szyfrowanie dysków przy użyciu funkcji BitLocker szyfruje woluminy logiczne i różni się od systemu szyfrowania plików EFS tym, że BitLocker może szyfrować cały dysk, podczas gdy EFS szyfruje tylko pojedyncze pliki i foldery. Komputery, których nie wyposażono w modułu TPM, mogą używać funkcji BitLocker do szyfrowania dysków systemu operacyjnego Windows, ale wymaga to klucza startowego USB, aby włączyć komputer lub wznowić działanie ze stanu hibernacji. Korzystając z modułu TPM mamy do dyspozycji większy zakres możliwości weryfikacji integralności systemu przed uruchomieniem.
Szyfrowanie dysków BitLocker to funkcja zabezpieczeń umożliwiająca użytkownikom szyfrowanie wszystkiego na dyskach lub partycjach zarządzanych przez system Windows. Gdy stosujemy zabezpieczenie w postaci szyfrowania całych wolumenów, w przypadku utraty dostępu do urządzenia, dane pozostaną zaszyfrowane, a tym samym chronimy je przed kradzieżą lub nieautoryzowanym dostępem.
W systemach Windows dla zabezpieczenia zewnętrznych nośników USB możemy skorzystać z funkcji BitLocker To Go. Zasadniczo funkcja BitLocker To Go umożliwia szyfrowanie dysku USB i ograniczanie dostępu do zaszyfrowanego dysku za pomocą hasła. W przypadku zaszyfrowanych nośników USB po podłączeniu do komputera zostanie wyświetlony komunikat o podanie hasła, a po jego pomyślnym wprowadzeniu będzie można odczytywać i zapisywać dane na nośniku. Funkcja BitLocker To Go umożliwia szyfrowanie dysków USB, kart SD, zewnętrznych dysków twardych lub innych sformatowanych przy użyciu systemu plików NTFS, FAT16, FAT32 lub exFAT nośników pamięci.
BitLocker wykorzystuje w swoim działaniu 5 trybów pracy:
- TPM + PIN + hasło –system szyfruje informacje za pomocą TPM;
- TPM + hasło – system szyfruje informacje za pomocą modułu TPM i wymagane jest hasło;
- TPM + PIN – system szyfruje informacje za pomocą TPM i wymagany jest identyfikator dostępu w postaci PIN-u;
- hasło – wymagane jest hasło, aby uzyskać dostęp do zarządzania;
- TPM – nie są wymagane żadne działania ze strony użytkownika.
Jeśli funkcja BitLocker jest zaimplementowana w systemie, pojawi się w „Panelu sterowania” Windowsa. Znajdziemy tam również opcje włączenia BitLockera, wstrzymania ochrony, utworzenia kopii zapasowej klucza odzyskiwania i wyłączenia funkcji BitLocker.
Administratorzy systemów np.: sieciach firmowych zarządzający większą ilością stanowisk mają możliwość wdrożenia zarządzania BitLocker z poziomu domeny Active Directory. Wykorzystanie Active Directory do zarzadzania BitLockerem zapewnia automatyczne włączenie szyfrowania na urządzeniu. Z poziomu zasad grupy GPO Active Directory mamy możliwość zarządzania szyfrowaniem dysków stałych, jak i wymiennych dysków danych.
Autor: Piotr Maziakowski